Besonderheiten von Datenverarbeitung in Drittländern

Das Hamburgische Datenschutzgesetz sowie das Bundesdatenschutzgesetz klassifiziert die Übermittlung von personenbezogenen Daten in das Ausland bisher nach vier Bereichen:

  • Mitgliedsstaaten der Europäischen Union bzw. Organe und Einrichtungen der Europäischen Union
  • Drittstaaten außerhalb der Europäischen Union bzw. über- und zwischenstaatliche Stellen, die über ein angemessenes, dem EU-Recht vergleichbares Datenschutzniveau verfügen. Die Europäische Kommission hat durch eine sogenannte Angemessenheitsentscheidung folgenden Staaten ein angemessenes Datenschutzniveau attestiert (Stand Sept. 2016): Andorra, Argentinien, Kanada (eingeschränkt), Schweiz, Färöer-Inseln, Guernsey, Israel (eingeschränkt), Isle of Man, Jersey, Uruguay und Neuseeland.
  • Staaten außerhalb der Europäischen Union bzw. über- und zwischenstaatliche Stellen, die ein angemessenes Schutzniveau* gewährleisten. Datenübermittlungen in die USA konnten bis zum 06.10.2015 auf Basis einer entsprechenden Angemessenheitsentscheidung der EU-Kommission auf die sog. Safe Harbor -Grundsätze gestützt werden. Der Europäische Gerichtshof (EuGH) hat jedoch mit Urteil vom 06.10.2015 diese Angemessenheitsentscheidung der EU-Kommission für ungültig erklärt (Az. C-362/14, Safe-Harbor-Urteil). Die EU Kommission hat daraufhin am 12.07.2016 beschlossen, dass unter den Vorgaben des EU-US Privacy Shield ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht. Das EU-US Privacy Shield ist ein Selbstzertifizierungsmechanismus für US-Unternehmen. Datenübermittlungen an US-Unternehmen, die sich entsprechend zertifiziert haben, sind somit zulässig. Die Entscheidung der Kommission bedeutet aber nicht, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde.
  • Staaten außerhalb der Europäischen Union bzw. über- und zwischenstaatliche Stellen, die kein angemessenes Schutzniveau gewährleisten.

Beispiel: Eine Hochschule in Hamburg arbeitet im wissenschaftlichen Austausch mit einer chinesischen Partnerhochschule gemeinsam an einem erziehungswissenschaftlichen Projekt, in dessen Zusammenhang personenbezogene Daten einer studentischen Testgruppe über Migrationshintergründe, Alter, Vorlieben und Hobbys verarbeitet werden. Die in Hamburg erhobenen Daten werden an die Partner in China über das Internet übermittelt.

Im Beispiel würden Bestimmungen des Hamburgischen Datenschutzgesetzes missachtet werden, da China – wie übrigens auch Amerika – nicht zu außereuropäischen Staaten zählen, die ein angemessenes Schutzniveau gewährleisten.

Wenn Stellen der Hamburger Hochschulen personenbezogene Daten an andere Staaten übermitteln, sollte grundsätzlich die/der Datenschutzbeauftragte gehört werden.

Prozessverantwortliche: Interne Projektleitung / Professoren/-innen / wissenschaftliche Beschäftigte in deren Projekt (Neu-Projekt oder Anpassungs-Projekt!) personenbezogene Daten (in elektronischer und nicht elektronischer Form!) an andere Staaten übermittelt werden.